勒索月报 | 数据泄露风险激增，360独家披露5月勒索软件流行态势

在数字化深入演进的当下，新型网络威胁也在持续衍生变异。其中，勒索病毒逐渐演变为“攻击面立体扩张、破坏烈度指数跃升、渗透路径全维覆盖”的高级威胁，不断构建出覆盖数字基建全要素、全链条的渗透破坏能力，持续对政企机构的核心数据资产及关键信息基础设施安全带来严峻挑战。

近日，360数字安全集团独家发布《2025年5月勒索软件流行态势分析》报告，依托多维威胁情报体系，对当月勒索病毒传播链路、变种进化轨迹及行业攻击图谱展开全景解构，为广大政企机构提供涵盖攻击面管理、纵深防御优化、韧性能力建设的体系化数字安全解决方案。

报告显示，连续多月霸榜传播量占比的“双子星”Weaxor与RNTC家族延续涨势，依旧稳坐5月榜单一、二位置，而BeijingCrypt家族则实现弯道超车，以10.47%占比跻身榜单第三。

2025年5月勒索软件家族占比

此外，当月还新增Bert、Kalxat等传统勒索软件家族。其中，360监测发现新型Kalxat勒索软件呈现显著技术升级特征。该病毒采用双重RSA架构与模块化设计，通过独立配置文件动态配置勒索信、加密扩展名等参数，支持快速定制变种，显著增加溯源难度。其攻击呈现三大特征：

精准定向Windows服务器，对数据库等核心数据实施全量加密，非关键文件采用部分加密策略提升攻击效率；

执行注册表篡改、安全日志清除等12项系统级对抗操作，规避主流安全检测；

采用“.kalxat”扩展名标记文件并留置赎金提示。

该病毒通过动态加密策略与攻击链强化设计，已成为针对企业服务器环境的高危定制化威胁。

在攻击对象方面，Windows 10、Windows Server 2012以及Windows 11成为入侵量最高的操作系统。同时，受攻击的系统类型桌面PC大幅领先服务器。当前，日益风靡的双重勒索攻击已突破传统数据加密锁定模式，从单纯破坏数据可用性延伸至数据资产多维剥削，形成“数据泄露-商业泄密-舆情危机”的联动攻击链条，导致数据泄露风险敞口指数级扩张。中招政企机构不仅要面临业务中断损失，更需应对知识产权流失、客户信任崩塌、监管处罚升级等系统性风险。

在当月中，J、Datacarry、Worldleaks等新型双重勒索软件家族持续涌现，SafePay、Silent、Qilin三大勒索软件家族则稳居通过数据泄露获利的犯罪链顶端。

2025年5月通过数据泄露获利的勒索软件家族占比

其中，Qilin家族在近期被发现开始利用Kickidler监控软件实施精准攻击。此类攻击针对管理员账户，通过特权凭证长期潜伏，暗中收集云备份凭证。虽然员工监控软件不是勒索软件团伙的首选工具，但他们多年来一直滥用合法的远程监控和管理软件。

作为数字安全的领导者，360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验，以及全球顶级安全专家团队等优势能力，360推出基于安全大模型赋能的勒索病毒防护解决方案，能够针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀，实现多方位、全流程、体系化、智能化的勒索防护。

在终端、流量侧部署360探针产品，通过互联网入口检测阻断等主动防御功能，能够在病毒落地时进行查杀拦截；

由360安全大模型支撑，对勒索病毒的异常加密行为和横向渗透攻击行为，进行智能化分析拦截和检测阻断，实现“一点发现，全网阻断”；

通过终端安全探针结合云端情报赋能，利用安全大模型的溯源分析能力，能够精准判断勒索病毒身份，并进行反向查杀；同时内置文档备份机制，可无感知备份日常办公文档和敏感业务数据，对备份区文件进行全面保护，不允许第三方程序对备份区进行非授权操作，从而阻断勒索病毒对备份区的加密行为；

该方案内置大量360独家文档解密工具及云端解密平台，云端支持1000+类勒索文件解密、本地支持100+类勒索文件解密，能够实现加密后的全方位恢复工作。

目前，360勒索病毒防护解决方案针对不同类别的勒索病毒，不同客户体量与需求，推出了多元产品及服务套餐，已累计为超万例勒索病毒救援求助提供帮助。

Fish AI Reader

FishAI

联系邮箱 441953276@qq.com

相关标签